專利名稱:惡意網(wǎng)站檢測(cè)方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明總體上涉及計(jì)算機(jī)網(wǎng)絡(luò)安全����,尤其涉及一種惡意網(wǎng)站檢測(cè)方法及裝置��。
背景技術(shù):
隨著計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的發(fā)展�����,互聯(lián)網(wǎng)已深入到人們工作和生活的各個(gè)方面��。但是隨之而來(lái)的安全問(wèn)題極大地困擾了網(wǎng)絡(luò)用戶�。各種針對(duì)互聯(lián)網(wǎng)的惡意行為越來(lái)越多而逐漸細(xì)化并形成了一個(gè)巨大的黑色產(chǎn)業(yè)鏈�。當(dāng)前互聯(lián)網(wǎng)的整體安全情況令人擔(dān)憂�����。在針對(duì)互聯(lián)網(wǎng)的惡意行為中����,網(wǎng)站掛馬是主要的惡意行為之一����。所述網(wǎng)站掛馬指網(wǎng)站自身頁(yè)面源代碼內(nèi)容(包括HTML、CSS��、JQ被黑客嵌入惡意的腳本代碼�,這些腳本代碼會(huì)在訪問(wèn)網(wǎng)站的網(wǎng)民計(jì)算機(jī)的瀏覽器中執(zhí)行,執(zhí)行結(jié)果導(dǎo)致瀏覽器安全策略被突破���,網(wǎng)民計(jì)算機(jī)被安裝木馬病毒程序���。目前,常用的惡意網(wǎng)站檢測(cè)方法主要包括一�����、純靜態(tài)特征檢測(cè)。此方法在網(wǎng)站HTML代碼中尋找掛馬特征����。比如掛馬早期,掛馬具備明顯特征 <iframe src = url display = none>,只需查找 iframe,并判另Ij display = none 就能識(shí)另ll 部分掛馬���。但黑客也在采取對(duì)抗措施����,他們采取大量腳本自加密����,自編碼等方法,使得純靜態(tài)特征檢測(cè)識(shí)別率非常低����,為此不得不需要尋求新的檢測(cè)方法。二�、使用基于虛擬技術(shù)的惡意網(wǎng)站檢測(cè)技術(shù)來(lái)進(jìn)行檢查。此方法將網(wǎng)站HTML頁(yè)面文件下載到虛擬機(jī)中�,通過(guò)此網(wǎng)站頁(yè)面文件在虛擬機(jī)中的運(yùn)行情況進(jìn)行分析和檢測(cè)來(lái)判定是否為惡意頁(yè)面。對(duì)于流行的惡意網(wǎng)站中嵌入的惡意代碼���,完全可以通過(guò)靜態(tài)特征匹配技術(shù)來(lái)進(jìn)行快速檢測(cè),但此方法往往存在因?yàn)闀r(shí)效性上的不及時(shí)而出現(xiàn)的準(zhǔn)確率下降的問(wèn)題,所以我們需要開(kāi)發(fā)出結(jié)合靜態(tài)特征以外����,還能檢測(cè)未知掛馬頁(yè)面的技術(shù)。
發(fā)明內(nèi)容
本發(fā)明要解決的主要技術(shù)問(wèn)題是提供一種能夠進(jìn)行全面的網(wǎng)站安全檢測(cè)的惡意網(wǎng)站檢測(cè)方法及裝置�。為了解決上述問(wèn)題,本發(fā)明惡意網(wǎng)站檢測(cè)方法的技術(shù)方案包括步驟獲取要訪問(wèn)的URL;抓取所述URL所指向的頁(yè)面���;對(duì)所抓取頁(yè)面的數(shù)據(jù)進(jìn)行靜態(tài)特征分析��;如果靜態(tài)特征分析表明存在危險(xiǎn)特征�,則在蜜罐集群內(nèi)進(jìn)行動(dòng)態(tài)行為分析���。其中����,所述動(dòng)態(tài)行為分析進(jìn)一步包括步驟基于對(duì)蜜罐集群所接受的URL進(jìn)行判別的結(jié)果蜜罐集群中的蜜罐虛擬機(jī)啟動(dòng)沙箱���;沙箱開(kāi)啟瀏覽器且瀏覽器在其中訪問(wèn)所述URL ���;
沙箱在瀏覽器訪問(wèn)URL過(guò)程中記錄瀏覽器行為;沙箱分析所記錄的瀏覽器行為并判斷是否存在具有可能危害操作系統(tǒng)的操作�。所述瀏覽器行為包括瀏覽器應(yīng)用層行為�、系統(tǒng)層行為和內(nèi)核層行為����。所述系統(tǒng)層行為包括文件創(chuàng)建、進(jìn)程創(chuàng)建����、注冊(cè)表寫(xiě)入、異常網(wǎng)絡(luò)事件���、瀏覽器內(nèi)存狀況和應(yīng)用異常事件��。所述內(nèi)核層行為包括異常進(jìn)程創(chuàng)建���。此外,本發(fā)明惡意網(wǎng)站檢測(cè)方法還包括步驟如果所述蜜罐虛擬機(jī)在啟動(dòng)以來(lái)所接受的URL掃描請(qǐng)求次數(shù)超過(guò)閾值�����,或者蜜罐虛擬機(jī)運(yùn)行時(shí)間超過(guò)預(yù)定的閾值��,則重置所述蜜罐虛擬機(jī)����。優(yōu)選地��,本發(fā)明惡意網(wǎng)站檢測(cè)方法還包括步驟如果所述蜜罐虛擬機(jī)中存在不允許在所述蜜罐虛擬機(jī)中存在的進(jìn)程名,則重置所述蜜罐虛擬機(jī)�����。相應(yīng)地�����,本發(fā)明惡意網(wǎng)站檢測(cè)裝置包括獲取單元�,用于獲取要訪問(wèn)的URL ;抓取單元�,用于抓取所述URL所指向的頁(yè)面;靜態(tài)分析單元�����,用于對(duì)所抓取頁(yè)面的數(shù)據(jù)進(jìn)行靜態(tài)特征分析�����;動(dòng)態(tài)分析單元����,用于如果靜態(tài)分析單元表明存在危險(xiǎn)特征則在蜜罐集群內(nèi)進(jìn)行動(dòng)態(tài)行為分析����。其中�,所述動(dòng)態(tài)分析單元還包括啟動(dòng)單元,基于對(duì)蜜罐集群所接受的URL進(jìn)行判別的結(jié)果蜜罐集群中的蜜罐虛擬機(jī)啟動(dòng)沙箱��;沙箱��,其包括開(kāi)啟單元�����,用于開(kāi)啟瀏覽器且瀏覽器在其中訪問(wèn)所述URL ��;記錄單元����,用于在瀏覽器訪問(wèn)URL過(guò)程中記錄瀏覽器行為;分析單元����,用于分析所記錄的瀏覽器行為并判斷是否存在具有可能危害操作系統(tǒng)的操作。所述瀏覽器行為包括瀏覽器應(yīng)用層行為�����、系統(tǒng)層行為和內(nèi)核層行為。所述系統(tǒng)層行為包括文件創(chuàng)建���、進(jìn)程創(chuàng)建�����、注冊(cè)表寫(xiě)入、異常網(wǎng)絡(luò)事件���、瀏覽器內(nèi)存狀況和應(yīng)用異常事件���。所述內(nèi)核層行為包括異常進(jìn)程創(chuàng)建。優(yōu)選地���,本發(fā)明惡意網(wǎng)站檢測(cè)裝置還包括用于如果所述蜜罐虛擬機(jī)在啟動(dòng)以來(lái)所接受的URL掃描請(qǐng)求次數(shù)超過(guò)閾值����,或者蜜罐虛擬機(jī)運(yùn)行時(shí)間超過(guò)預(yù)定的閾值�����,則重置所述蜜罐虛擬機(jī)的單元�。進(jìn)一步地����,本發(fā)明惡意網(wǎng)站檢測(cè)裝置還包括用于如果所述蜜罐虛擬機(jī)中存在不允許在所述蜜罐虛擬機(jī)中存在的進(jìn)程名則重置所述蜜罐虛擬機(jī)的單元���。與現(xiàn)有技術(shù)相比�,本發(fā)明惡意網(wǎng)站檢測(cè)方法及裝置的有益效果為首先���,本發(fā)明是采用在服務(wù)端主動(dòng)對(duì)要訪問(wèn)的URL所指向的頁(yè)面進(jìn)行分析�,提前獲知所述頁(yè)面是否存在惡意�����,在客戶端可直接阻止對(duì)惡意URL的訪問(wèn)���,而不是采用傳統(tǒng)的在客戶端訪問(wèn)URL之后進(jìn)行惡意判別的方式��,從而可以很好地保證了為幾乎所有可能的互聯(lián)網(wǎng)使用者提供了全面的網(wǎng)站安全檢測(cè)�����,并且不會(huì)在互聯(lián)網(wǎng)使用者的客戶端進(jìn)行惡意判別��,讓客戶端規(guī)避技術(shù)對(duì)抗的風(fēng)險(xiǎn)����。其次,由于本發(fā)明采用了靜態(tài)檢測(cè)和動(dòng)態(tài)檢測(cè)相結(jié)合的方式����,其中,靜態(tài)檢測(cè)可以排除掉大量頁(yè)面源代碼中沒(méi)有可疑特征的網(wǎng)站��。相比于動(dòng)態(tài)檢測(cè)�,靜態(tài)檢測(cè)節(jié)省系統(tǒng)資源和網(wǎng)絡(luò)資源����,并且效率高,只是準(zhǔn)確率遜色一些���。而動(dòng)態(tài)檢測(cè)準(zhǔn)確率高���,但是耗費(fèi)的系統(tǒng)資源和網(wǎng)絡(luò)資源多且效率低。本發(fā)明采用這二者的結(jié)合���,有效地彌補(bǔ)了各自的缺陷����,從而節(jié)省了系統(tǒng)資源和網(wǎng)絡(luò)資源,且極大地減少了誤報(bào)的可能性���。再者��,由于本發(fā)明還采用了自身安全保障策略��,假如所述蜜罐虛擬機(jī)在啟動(dòng)以來(lái)所接受的URL掃描請(qǐng)求次數(shù)超過(guò)閾值�����,以及蜜罐虛擬機(jī)運(yùn)行時(shí)間超過(guò)閾值���,則重置所述蜜罐虛擬機(jī),這樣防止了蜜罐虛擬機(jī)中毒����,從而保證了蜜罐虛擬機(jī)的絕對(duì)安全。此外���,本發(fā)明能對(duì)抗黑客未來(lái)可能使用的各種掛馬變種攻擊手段��,系統(tǒng)最終判別只與瀏覽器行為相關(guān)�。另外,本發(fā)明能夠捕獲最新的病毒木馬程序���。如果瀏覽器產(chǎn)生寫(xiě)文件操作并且寫(xiě)文件到非臨時(shí)目錄��,那么一定是突破了瀏覽器安全策略�,當(dāng)前絕大部分病毒木馬傳播都使用網(wǎng)站掛馬進(jìn)行傳播��。由于我們記錄了這些文件內(nèi)容��,那么也就能捕獲最新的木馬病毒樣本�。
下面參考結(jié)合附圖所進(jìn)行的下列描述,以便更透徹地理解本公開(kāi)內(nèi)容����,在附圖中圖1是依據(jù)本發(fā)明的惡意網(wǎng)站檢測(cè)方法的流程圖�����;圖2是進(jìn)行動(dòng)態(tài)行為分析的流程圖���;圖3是依據(jù)本發(fā)明的惡意網(wǎng)站檢測(cè)裝置的示意圖����。
具體實(shí)施例方式下面將詳細(xì)描述本發(fā)明的具體實(shí)施例,但本發(fā)明并不限于下述具體實(shí)施例���。首先�����,介紹本發(fā)明所采用的技術(shù)���。·蜜罐技術(shù)蜜罐技術(shù)本質(zhì)上是因?yàn)樘摂M機(jī)技術(shù)發(fā)展而發(fā)展起來(lái)的一種衍生物���。例如著名的 VMware虛擬機(jī)技術(shù)公司出品的VMWARE虛擬機(jī)軟件����。其特點(diǎn)是可以根據(jù)用戶的需求搭建一個(gè)可控制并不影響真實(shí)機(jī)器卻可任意恢復(fù)到正常狀態(tài)的技術(shù)���。利用虛擬機(jī)這種技術(shù)�����,在對(duì)可能會(huì)影響到真實(shí)機(jī)器的操作時(shí)���,都會(huì)利用虛擬機(jī)技術(shù)來(lái)進(jìn)行蜜罐的搭建����?!ど诚浼夹g(shù)沙箱技術(shù),英文名sandbox�����。這種技術(shù)現(xiàn)在在計(jì)算機(jī)安全防御中得以運(yùn)用��,是比較新的技術(shù)���。具體來(lái)說(shuō)沙箱是一種安全軟件�,可以將一個(gè)程序放入沙箱運(yùn)行��,這樣它所創(chuàng)建/ 修改/刪除的所有文件和注冊(cè)表都會(huì)被虛擬化重定向��,也就是說(shuō)所有操作都是虛擬的��,真實(shí)的文件和注冊(cè)表不會(huì)被改動(dòng)��,這樣可以確保病毒無(wú)法對(duì)系統(tǒng)關(guān)鍵部位進(jìn)行改動(dòng)而破壞系統(tǒng)���。結(jié)合虛擬機(jī)以及沙箱技術(shù)�����,就可以方便搭建出所需要的軟件操作環(huán)境����,來(lái)進(jìn)行對(duì)真實(shí)機(jī)器影響巨大的操作���,而不用擔(dān)心對(duì)真實(shí)機(jī)器造成破壞�,并可隨時(shí)恢復(fù)系統(tǒng)狀態(tài)�。·內(nèi)部檢測(cè)技術(shù)
蜜罐內(nèi)部運(yùn)用了兩種檢測(cè)技術(shù)靜態(tài)特征匹配與動(dòng)態(tài)行為檢測(cè)�����。利用蜜罐系統(tǒng)的虛擬真實(shí)系統(tǒng)功能����,我們將蜜罐與網(wǎng)絡(luò)相連,通過(guò)蜜罐系統(tǒng)的模擬上網(wǎng)方法來(lái)驗(yàn)證當(dāng)前瀏覽的網(wǎng)站是否存在危害性操作的行為產(chǎn)生��。..靜態(tài)特征匹配靜態(tài)特征匹配技術(shù)�,已經(jīng)是非常成熟并應(yīng)用非常廣泛的檢測(cè)方法。傳統(tǒng)意義上的靜態(tài)特征處理是收集相關(guān)惡意木馬或病毒樣本的詳細(xì)信息進(jìn)行記錄�����,在平時(shí)的使用中對(duì)收集的樣本文件進(jìn)行相關(guān)信息的特征匹配。靜態(tài)特征匹配在一般的檢測(cè)中有著檢測(cè)速度快�����, 應(yīng)對(duì)大規(guī)模數(shù)據(jù)處理時(shí)的簡(jiǎn)單易行以及方便進(jìn)行自動(dòng)化處理上的設(shè)置�����。不過(guò)�,隨著需要處理的數(shù)據(jù)的結(jié)構(gòu)變化越來(lái)越快,這種靜態(tài)特征匹配隨著時(shí)間的推移而變得不再準(zhǔn)確�����,因此����, 只適用于一般的針對(duì)比較流行或使用非常廣泛的數(shù)據(jù)的處理。不過(guò)�����,對(duì)于靜態(tài)特征匹配目前一般都只是在檢測(cè)數(shù)據(jù)的初級(jí)過(guò)濾中使用����。由于靜態(tài)特征匹配技術(shù)在實(shí)現(xiàn)上非常簡(jiǎn)單并可以通過(guò)內(nèi)容添加和類型分類以及格式匹配等相對(duì)比較靈活的搭配方式來(lái)定制,非常適合非人工自動(dòng)化的檢測(cè)工作����。方便對(duì)一些特定服務(wù)對(duì)象的特別策略定制上的實(shí)現(xiàn)工作。..動(dòng)態(tài)行為檢測(cè)對(duì)于靜態(tài)特征匹配技術(shù)在對(duì)數(shù)據(jù)進(jìn)行檢測(cè)時(shí)的誤差問(wèn)題�����,又引入了一項(xiàng)新的技術(shù)——?jiǎng)討B(tài)行為檢測(cè)�����。動(dòng)態(tài)行為檢測(cè)是為了彌補(bǔ)靜態(tài)特征匹配在大規(guī)模數(shù)據(jù)處理中存在的不準(zhǔn)確問(wèn)題而提出來(lái)的�����。其作用是將可能存在的誤報(bào)率降低至一個(gè)可以接受的范圍內(nèi)�����。動(dòng)態(tài)行為檢測(cè)主要是監(jiān)視蜜罐所進(jìn)行的操作中是否有超出常規(guī)的可能危害操作系統(tǒng)的行為的出現(xiàn)�。由于是對(duì)實(shí)時(shí)操作中出現(xiàn)的一些非常規(guī)運(yùn)行行為的監(jiān)視,在準(zhǔn)確率上也比靜態(tài)特征匹配要高出很多����。由于動(dòng)態(tài)行為檢測(cè)需要應(yīng)對(duì)的數(shù)據(jù)類型非常的繁雜����,所以��,動(dòng)態(tài)行為檢測(cè)技術(shù)是基于計(jì)算機(jī)網(wǎng)絡(luò)及計(jì)算機(jī)操作系統(tǒng)多項(xiàng)數(shù)據(jù)類型檢測(cè)技術(shù)的合成���?!ふ齽t表達(dá)式正則表達(dá)式(Regular Expression)��,在計(jì)算機(jī)科學(xué)中����,是指一個(gè)用來(lái)描述或者匹配一系列符合某個(gè)句法規(guī)則的字符串的單個(gè)字符串。在很多文本編輯器或其他工具里�����,正則表達(dá)式通常被用來(lái)檢索和/或替換那些符合某個(gè)模式的文本內(nèi)容����。許多程序設(shè)計(jì)語(yǔ)言都支持利用正則表達(dá)式進(jìn)行字符串操作。例如,在Perl中就內(nèi)建了一個(gè)功能強(qiáng)大的正則表達(dá)式引擎�。正則表達(dá)式這個(gè)概念最初是由Unix中的工具軟件(例如sed和gr印)普及開(kāi)的?���!罢齽t表達(dá)式〃通?���?s寫(xiě)成〃 regex",單數(shù)有regexp�����、regex�,復(fù)數(shù)有regexps、 regexes���、regexen�。一個(gè)正則表達(dá)式通常被稱為一個(gè)模式(pattern)���,為用來(lái)描述或者匹配一系列符合某個(gè)句法規(guī)則的字符串�。例如=Handel���、H ��? ndel和Haendel這三個(gè)字符串���,都可以由"H(a| �? |ae)ndel"這個(gè)模式來(lái)描述��。大部分正則表達(dá)式的形式都有如下的結(jié)構(gòu)替換豎直分隔符代表替換�。例如“gray | grey"可以匹配grey或gray。數(shù)量限定某個(gè)字符后的數(shù)量限定符用來(lái)限定前面這個(gè)字符允許出現(xiàn)的個(gè)數(shù)���。最常見(jiàn)的數(shù)量限定符包括〃 +〃����,〃����?〃和〃 *〃(不加數(shù)量限定則代表出現(xiàn)一次且僅出現(xiàn)一次)
+加號(hào)代表前面的字符必須至少出現(xiàn)一次。(1次����,或多次)。例如�,"goo+gle"可以匹配 google, gooogle, goooogle 等;?問(wèn)號(hào)代表前面的字符最多只可以出現(xiàn)一次���。(0次�,或1次)����。例如����,“colou r"可以匹配colour或者color ;*星號(hào)代表前面的字符可以不出現(xiàn)��,也可以出現(xiàn)一次或者多次�����。(0次���,或1次��,或多次)��。例如�����,“0*42〃 可以匹配 42����,042,0042�,00042 等。匹配圓括號(hào)可以用來(lái)定義操作符的范圍和優(yōu)先度����。例如,“gr(a|e)y"等價(jià)于〃 gray | grey“ �����, “ (grand) ��? father"匹配 father 禾口 grandfather����。上述這些構(gòu)造都可以自由組合,因此�,‘‘H(ae I ? )ndel"和〃 H(a|ae| ���?) ndel"是相同的����。精確的語(yǔ)法可能因不同的工具或程序而異。例子‘‘ a|b>K^^{e�����,a���,b,bb����,bbb,···}���?��!?(a |b)*指示由包括空串、任意數(shù)目個(gè)a和b字符組成的所有字符串的集合�����。“ ab*(c| ε )指示開(kāi)始于一個(gè)a接著零或多個(gè)b和最終可選的一個(gè)c的字符串的集合�����。表達(dá)式全集正則表達(dá)式有多種不同的風(fēng)格��。下表是在PCRE中元字符及其在正則表達(dá)式上下文中的行為的一個(gè)完整列表字符描述\將下一個(gè)字符標(biāo)記為一個(gè)特殊字符���、或一個(gè)原義字符��、或一個(gè)向后引用���、或一個(gè)八進(jìn)制轉(zhuǎn)義符。例如�,“n〃匹配字符〃 η"?����!?\η"匹配一個(gè)換行符���。序列〃 \\〃匹配〃 \〃而〃 \("則匹配〃(〃���?��!捌ヅ漭斎胱址拈_(kāi)始位置。如果設(shè)置了RegExp對(duì)象的Multiline屬性����,“也匹配"W或"\r"之后的位置。$匹配輸入字符串的結(jié)束位置����。如果設(shè)置了 RegExp對(duì)象的Multiline屬性,$也匹配〃 \n"或〃 \r"之前的位置��。*匹配前面的子表達(dá)式零次或多次�����。例如�,Z0*能匹配〃 ζ"以及〃 zoo"��。*等價(jià)于{0��,}����。+匹配前面的子表達(dá)式一次或多次���。例如,“ZO+"能匹配〃 Z0"以及〃 zoo"�����, 但不能匹配〃 Z"���。+等價(jià)于{1�,}�����。�?匹配前面的子表達(dá)式零次或一次。例如����,“d0(es) ?“可以匹配〃 do" 或"does"中的〃 do"���。�����?等價(jià)于{0,1} ο{n}n是一個(gè)非負(fù)整數(shù)�。匹配確定的η次。例如�,“ο {2} 〃不能匹配〃 Bob"中的"ο",但是能匹配〃 food"中的兩個(gè)ο����。
{n,}n是一個(gè)非負(fù)整數(shù)��。至少匹配η次����。例如,“0{2�����,}〃不能匹配〃 Bob"中的"O"��,但能匹配〃 foooood"中的所有O���。“ ο{1���,}〃等價(jià)于〃 ο+"�����?���!?o{0,}〃則等價(jià)于〃 o*〃����。{n,m}m和η均為非負(fù)整數(shù)���,其中n<=m�����。最少匹配η次且最多匹配m次��。例如����,“ο{1,3}〃將匹配〃 fooooood"中的前三個(gè)O���?���!?ο {0,1}"等價(jià)于〃 o 〃��。請(qǐng)注意在逗號(hào)和兩個(gè)數(shù)之間不能有空格�。?當(dāng)該字符緊跟在任何一個(gè)其他限制符(*�,+,����?,In}���,In�����,}���,{n,m})后面時(shí)���,匹配模式是非貪婪的���。非貪婪模式盡可能少的匹配所搜索的字符串,而默認(rèn)的貪婪模式則盡可能多的匹配所搜索的字符串����。例如,對(duì)于字符串〃 0000〃�," ο+ 丨‘將匹配單個(gè)〃 ο", 而"ο+"將匹配所有〃 ο"����。.匹配除〃\n"之外的任何單個(gè)字符。要匹配包括〃 \n"在內(nèi)的任何字符�����,請(qǐng)使用像〃 [·\η]〃的模式�����。(pattern)匹配pattern并獲取這一匹配�。所獲取的匹配可以從產(chǎn)生的Matches 集合得到,在VBkript中使用SubMatches集合,在JScript中則使用$0. · · $9屬性�。要匹配圓括號(hào)字符,請(qǐng)使用"\("或"\)"��。( ��? :pattern)匹配pattern但不獲取匹配結(jié)果����,也就是說(shuō)這是一個(gè)非獲取匹配, 不進(jìn)行存儲(chǔ)供以后使用��。這在使用"或"字符(I)來(lái)組合一個(gè)模式的各個(gè)部分是很有用����。 例如,“industr( y | ies)就是一個(gè)比〃 industry | industries ‘更簡(jiǎn)略的表達(dá)式��。( �����? = pattern)正向預(yù)查�,在任何匹配pattern的字符串開(kāi)始處匹配查找字符串。這是一個(gè)非獲取匹配���,也就是說(shuō)�����,該匹配不需要獲取供以后使用��。例如��,“Windows ( �����? = 95 | 98 | NT | 2000)“能匹配〃 Windows2000“中的〃 Windows"����,但不能匹配〃 WindoWS3. 1〃中的〃 Windows"�。預(yù)查不消耗字符,也就是說(shuō)�����,在一個(gè)匹配發(fā)生后��,在最后一次匹配之后立即開(kāi)始下一次匹配的搜索�����,而不是從包含預(yù)查的字符之后開(kāi)始。( �? ! pattern)負(fù)向預(yù)查�,在任何不匹配pattern的字符串開(kāi)始處匹配查找字符串。這是一個(gè)非獲取匹配����,也就是說(shuō),該匹配不需要獲取供以后使用���。例如〃 Windows ( �?! 95 | 98 | NT | 2000)“能匹配〃 Windows3. 1 “中的〃 Windows"���,但不能匹配〃 Windows2000//中的〃 Windows"�����。預(yù)查不消耗字符�,也就是說(shuō)��,在一個(gè)匹配發(fā)生后����,在最后一次匹配之后立即開(kāi)始下一次匹配的搜索���,而不是從包含預(yù)查的字符之后開(kāi)始。x|y 匹配 χ 或 y��。例如�����,〃 ζ | food"能匹配〃 ζ 〃或〃 food"�����?!?Z|f)ood〃 則匹配〃 ZOOd 〃 或〃 food"�。[xyz]字符集合。匹配所包含的任意一個(gè)字符��。例如�,“[abc]〃可以匹配〃 plain"中的〃 a"。["xyz]負(fù)值字符集合����。匹配未包含的任意字符�����。例如����,“rabc]〃可以匹配〃 plain"中的〃 p〃。[a-z]字符范圍�。匹配指定范圍內(nèi)的任意字符。例如����,"[a-z] 〃可以匹配〃 a" 到"ζ"范圍內(nèi)的任意小寫(xiě)字母字符。["a-z]負(fù)值字符范圍�。匹配任何不在指定范圍內(nèi)的任意字符。例如�,"["a-z]“ 可以匹配任何不在"a"到"ζ"范圍內(nèi)的任意字符。\b匹配一個(gè)單詞邊界��,也就是指單詞和空格間的位置����。例如,“er\b〃可以匹配〃 never"中的〃 er〃�����,但不能匹配〃 verb"中的〃 er〃。\B匹配非單詞邊界��?!癳r\B〃能匹配〃 verb"中的〃 er〃,但不能匹配〃 never"中的〃 er"���。\cx匹配由χ指明的控制字符�。例如�,\cM匹配一個(gè)Control-M或回車(chē)符。χ的值必須為A-Z或a-z之一�����。否則��,將c視為一個(gè)原義的〃 c〃字符����。\d匹配一-個(gè)數(shù)字字符�����。等價(jià)于W-9]�。
\D匹配一-個(gè)非數(shù)字字符�。等價(jià)于Γ0-9]�����。
\f匹配一-個(gè)換頁(yè)符���。等價(jià)于\x0c和\cL���。
\n匹配一“個(gè)換行符。等價(jià)于\x0a和\cj����。
\r匹配一-個(gè)回車(chē)符。等價(jià)于\x0c^P\cM����。
\s匹配任何空白字符,包括空格�����、制表符���、換頁(yè)符等等��。等價(jià)于[\f\n\r\t\v]���。
\s匹配任何非空白字符����。等價(jià)于r\f\n\r\t\v]�。
\t匹配一“個(gè)制表符。等價(jià)于\x09和\cL·
\v匹配一-個(gè)垂直制表符���。等價(jià)于\x0b和\cK����。
\w匹配包括下劃線的任何單詞字符���。等價(jià)于"[A-Za-z0-9_] 〃。
\ff匹配任何非單詞字符��。等價(jià)于〃 rA-Za-zO-9_]“��。
\xn匹配n�,其中η為十六進(jìn)制轉(zhuǎn)義值。十六進(jìn)制轉(zhuǎn)義值必須為確定的兩個(gè)數(shù)
長(zhǎng)。例如�����,“\x41〃匹配〃 A"�����?����!?\x041"則等價(jià)于〃 \x04" &〃 1"�����。正則表達(dá)式中可以使用ASCII編碼���。\nurn匹配num����,其中num是一個(gè)正整數(shù)����。對(duì)所獲取的匹配的引用����。例如�����,“(.)\1〃匹配兩個(gè)連續(xù)的相同字符��。\n標(biāo)識(shí)一個(gè)八進(jìn)制轉(zhuǎn)義值或一個(gè)向后引用���。如果Vi之前至少η個(gè)獲取的子表達(dá)式�,則η為向后引用�。否則,如果η為八進(jìn)制數(shù)字(0-7)�,則η為一個(gè)八進(jìn)制轉(zhuǎn)義值。\nm標(biāo)識(shí)一個(gè)八進(jìn)制轉(zhuǎn)義值或一個(gè)向后弓丨用���。如果\nm之前至少有nm個(gè)獲得子表達(dá)式����,則nm為向后引用���。如果\nm之前至少有η個(gè)獲取���,則η為一個(gè)后跟文字m的向后引用。如果前面的條件都不滿足�����,若η和m均為八進(jìn)制數(shù)字(0-7)����,則\nm將匹配八進(jìn)制轉(zhuǎn)義值nm。\nml如果η為八進(jìn)制數(shù)字(0_3)��,且m和1均為八進(jìn)制數(shù)字(0_7)�����,則匹配八進(jìn)制轉(zhuǎn)義值nml��。\un 匹配n��,其中η是一個(gè)用四個(gè)十六進(jìn)制數(shù)字表示的Unicode字符�。例如, \u00A9匹配版權(quán)符號(hào)(�?)。由于正則表達(dá)式是非常強(qiáng)大的����、便捷����、高效的文本處理工具���。它可以添加��、刪除��、分離���、疊加、插入和修整各種類型的文本和數(shù)據(jù)���。同樣的����,由于目前各大網(wǎng)站的建設(shè)都是以網(wǎng)站腳本為基礎(chǔ)�,如最早的HTML到現(xiàn)在廣泛使用的JAVASCRIP等。正是由于這些腳本的存在�,如需要對(duì)網(wǎng)站進(jìn)行一些安全項(xiàng)目的檢測(cè),如惡意代碼的檢測(cè)����,都無(wú)法避開(kāi)對(duì)腳本語(yǔ)言的檢測(cè)。由于腳本語(yǔ)言本身就可以被視為一些可被執(zhí)行的文本���,這就使正則表達(dá)式在對(duì)這些腳本的檢測(cè)中��,起到了非常大的作用���。對(duì)于一些特別的或者特殊的字符、字條串的處理�,非常高效。如圖1所示��,本發(fā)明惡意網(wǎng)站檢測(cè)方法包括步驟
1)獲取要訪問(wèn)的URL;2)抓取所述URL所指向的頁(yè)面�;3)對(duì)所抓取頁(yè)面的數(shù)據(jù)進(jìn)行靜態(tài)特征分析;4)如果靜態(tài)特征分析表明存在危險(xiǎn)特征�,則在蜜罐集群內(nèi)進(jìn)行動(dòng)態(tài)行為分析。其中��,所述動(dòng)態(tài)行為分析進(jìn)一步包括步驟40)基于對(duì)蜜罐集群所接受的URL進(jìn)行判別的結(jié)果蜜罐集群中的蜜罐虛擬機(jī)啟動(dòng)沙箱����;41)沙箱開(kāi)啟瀏覽器且瀏覽器在其中訪問(wèn)所述URL ;42)沙箱在瀏覽器訪問(wèn)URL過(guò)程中記錄瀏覽器行為����;43)沙箱分析所記錄的瀏覽器行為并判斷是否存在具有可能危害操作系統(tǒng)的操作�����。另外�,所述瀏覽器行為至少包括瀏覽器應(yīng)用層行為�����、系統(tǒng)層行為和內(nèi)核層行為���。也就是至少在三個(gè)層面上對(duì)瀏覽器行為進(jìn)行檢測(cè)��。在應(yīng)用層進(jìn)行檢測(cè)主要包括腳本行為檢測(cè)和ACTIVEX加載與調(diào)用檢測(cè)���;系統(tǒng)層檢測(cè)主要包括文件創(chuàng)建檢測(cè)、進(jìn)程創(chuàng)建檢測(cè)����、注冊(cè)表寫(xiě)入檢測(cè)、異常網(wǎng)絡(luò)事件檢測(cè)���、瀏覽器內(nèi)存狀況檢測(cè)和應(yīng)用異常事件檢測(cè)�;內(nèi)核層檢測(cè)主要包括異常進(jìn)程創(chuàng)建檢測(cè)。瀏覽器與系統(tǒng)操作相關(guān)API是主要的瀏覽器行為�,即瀏覽器及操作系統(tǒng)關(guān)鍵API 函數(shù),這些函數(shù)調(diào)用情況以及傳遞給這些函數(shù)的參數(shù)等對(duì)于判斷是否為惡意網(wǎng)站是重要依據(jù)之一��。如果存在具有可能危害操作系統(tǒng)的操作���,即表明該URL為惡意站點(diǎn)。例如����,出現(xiàn)了非法的程序執(zhí)行、出現(xiàn)了諸如下載文件到windows目錄之類的非法的下載行為���、出現(xiàn)了諸如添加程序開(kāi)機(jī)自動(dòng)執(zhí)行之類的非法的注冊(cè)表更改等等���。從上述可知,本發(fā)明惡意網(wǎng)站檢測(cè)方法是對(duì)要訪問(wèn)的URL進(jìn)行分析�,也就是對(duì)服務(wù)器端進(jìn)行分析。抓取所述URL所指向的頁(yè)面���,也即獲得頁(yè)面數(shù)據(jù)����。然后對(duì)所獲得的頁(yè)面數(shù)據(jù)進(jìn)行靜態(tài)特征分析,即在頁(yè)面數(shù)據(jù)中查找危險(xiǎn)特征����,也就是進(jìn)行初級(jí)過(guò)濾。如果存在危險(xiǎn)特征����,則在蜜罐虛擬機(jī)內(nèi)進(jìn)行動(dòng)態(tài)行為分析。因此本發(fā)明惡意網(wǎng)站檢測(cè)方法綜合了靜態(tài)特征分析和動(dòng)態(tài)行為分析這二者來(lái)判定網(wǎng)站是否是惡意網(wǎng)站�。也就是說(shuō),既利用了靜態(tài)特征分析效率高的特點(diǎn)���,又利用了動(dòng)態(tài)特征準(zhǔn)確率高的特點(diǎn)���。因此,極大地減少了誤報(bào)的可能性���。獲取要訪問(wèn)的URL���,可以使用爬蟲(chóng)模塊來(lái)實(shí)現(xiàn),當(dāng)然也可以采用本領(lǐng)域技術(shù)人員已知或者將來(lái)已知的任何技術(shù)�����。用爬蟲(chóng)模塊對(duì)指定的互聯(lián)網(wǎng)網(wǎng)站進(jìn)行URL爬取,然后對(duì)URL 進(jìn)行靜態(tài)特征分析���,對(duì)一切靜態(tài)分析認(rèn)為可疑的URL均交給蜜罐虛擬機(jī)系統(tǒng)啟動(dòng)沙箱進(jìn)行行為識(shí)別���。另外,在獲得要訪問(wèn)的URL之后�,還可以使用靜態(tài)代碼特征來(lái)判定網(wǎng)站的安全級(jí)別�,通過(guò)靜態(tài)特征分析后,如果匹配出當(dāng)下所檢測(cè)的URL帶有惡意代碼特征�,則根據(jù)該安全級(jí)別來(lái)確定是否需要啟動(dòng)蜜罐虛擬機(jī)。其中�,網(wǎng)站的安全級(jí)別是根據(jù)URL判別請(qǐng)求而進(jìn)行的。由于例如掛馬網(wǎng)站一般都是受當(dāng)前流行的漏洞所導(dǎo)致的����,而各個(gè)流行的漏洞所帶來(lái)的危害是不一樣的,通過(guò)對(duì)產(chǎn)生的危害性定級(jí)別���,來(lái)確定是否需要啟動(dòng)蜜罐虛擬機(jī)��。本例設(shè)為如果該頁(yè)面存在一個(gè)危險(xiǎn)特征��,則啟動(dòng)蜜罐虛擬機(jī)�,即向其分配任務(wù)。在分配任務(wù)的時(shí)候���,空閑的蜜罐虛擬機(jī)將會(huì)接收到一條掃描起始地址URL��,然后在虛擬系統(tǒng)里�����,通過(guò)模擬打開(kāi)該 URL,記錄并分析該網(wǎng)站對(duì)系統(tǒng)進(jìn)行的任何危險(xiǎn)動(dòng)作��。所述蜜罐虛擬機(jī)構(gòu)造了一個(gè)遭受攻擊的脆弱系統(tǒng)���,模擬當(dāng)前上網(wǎng)用戶的系統(tǒng)環(huán)境,再通過(guò)沙箱來(lái)打開(kāi)網(wǎng)站���。對(duì)于蜜罐虛擬機(jī)而言����,其主要是用來(lái)模擬真實(shí)的上網(wǎng)環(huán)境���,需要具備以下特征·最普遍的操作系統(tǒng)環(huán)境�,這是因?yàn)榕c普通上網(wǎng)環(huán)境一致能加大被攻擊成功的幾率;·常用的軟件環(huán)境(包括系統(tǒng)自帶軟件��、第三方軟件)����,只要滿足攻擊中可能需要的軟件環(huán)境即可;·常見(jiàn)的掛馬攻擊利用的漏洞�,只要能夠符合攻擊針對(duì)特定版本的要求即可?����?梢曰谏鲜鎏卣?����,在虛擬機(jī)中制作出蜜罐操作系統(tǒng)母版�。蜜罐操作系統(tǒng)母版是指將蜜罐系統(tǒng)搭建了以上的軟件環(huán)境配置后����,使用Vmware的OVF模板導(dǎo)出功能,將該操作系統(tǒng)當(dāng)前的狀態(tài)保存至其他存儲(chǔ)空間��,后續(xù)的部署即可直接應(yīng)用此母版進(jìn)行Vmware的OVF 模板導(dǎo)入�,減少了重復(fù)配置軟件環(huán)境的過(guò)程���。在母版中加入蜜罐系統(tǒng)初始化程序,以用于自動(dòng)配置蜜罐系統(tǒng)的IP�����、網(wǎng)關(guān)�����、DNS配置以及檢測(cè)蜜罐系統(tǒng)中的軟件版本是否需要更新��,如果需要更新則進(jìn)行更新����。另外,可以通過(guò)Vmware提供的虛擬機(jī)克隆技術(shù)�����,對(duì)虛擬機(jī)進(jìn)行克隆并部署��?����?寺」δ苄枰惭bVmware提供的Vcenter軟件,通過(guò)該軟件登陸連接到Vmware ESXI主機(jī)�����,對(duì)ESXI主機(jī)中存在的虛擬操作系統(tǒng)可進(jìn)行克隆至主機(jī)的操作�����。部署完畢后蜜罐系統(tǒng)初始化程序會(huì)自動(dòng)完成配置工作�����。注意���,沙箱可以采用本領(lǐng)域技術(shù)人員已知和將來(lái)已知的任何技術(shù)��。沙箱的功能是實(shí)現(xiàn)模擬用戶瀏覽網(wǎng)頁(yè)行為�,并且檢測(cè)該網(wǎng)頁(yè)的一切行為��,如果發(fā)現(xiàn)惡意操作��,則利用HOOK 技術(shù)對(duì)惡意操作進(jìn)行替換�,保護(hù)系統(tǒng)不會(huì)被惡意操作所破壞����,同時(shí)也將該動(dòng)作記錄下來(lái)���,給行為檢測(cè)提供依據(jù)。本發(fā)明利用蜜罐系統(tǒng)和沙箱技術(shù)的結(jié)合可以節(jié)省系統(tǒng)資源�,在一臺(tái)蜜罐系統(tǒng)里可以使用多個(gè)沙箱來(lái)模擬多個(gè)打開(kāi)網(wǎng)站的操作并且互不影響。此外�����,使用沙箱模式也不會(huì)致使蜜罐系統(tǒng)遭受病毒攻擊�。另外,為了保障蜜罐系統(tǒng)的絕對(duì)安全�,本發(fā)明惡意網(wǎng)站檢測(cè)方法還包括步驟如果所述蜜罐虛擬機(jī)在啟動(dòng)以來(lái)所接受的URL掃描請(qǐng)求次數(shù)超過(guò)閾值,則重置所述蜜罐虛擬機(jī)�;如果所述蜜罐虛擬機(jī)中存在不允許在所述蜜罐虛擬機(jī)中存在的進(jìn)程名,則重置所述蜜罐虛擬機(jī)�����;如果所述蜜罐虛擬機(jī)中存在不允許在所述蜜罐虛擬機(jī)中的沙箱所在目錄中存在的文件名����,則重置所述蜜罐虛擬機(jī)。從上述可知���,為了防止蜜罐VM中毒�,由于蜜罐VM是以軟件虛擬機(jī)技術(shù)為基礎(chǔ)所虛擬出的一個(gè)仿真的網(wǎng)絡(luò)環(huán)境,所以�,蜜罐VM所虛擬出來(lái)的這個(gè)仿真環(huán)境也會(huì)和真實(shí)的環(huán)境是一樣的。如果在蜜罐VM瀏覽一個(gè)帶有惡意代碼信息的網(wǎng)站�����,也是會(huì)受到此網(wǎng)站上的惡意代碼攻擊的����,也就是我們常說(shuō)的中毒情況的出現(xiàn)。蜜罐VM還記錄啟動(dòng)以來(lái)接受URL掃描請(qǐng)求的數(shù)目���,如果該數(shù)目超過(guò)一定數(shù)量(例如300等等)后�,則重置��。由于蜜罐虛擬機(jī)技術(shù)可以將其制作出來(lái)的虛擬環(huán)境進(jìn)行記錄��。也就是說(shuō)可以保存當(dāng)前虛擬環(huán)境的各種系統(tǒng)參數(shù)的配備�。這樣,當(dāng)此虛擬環(huán)境出現(xiàn)各種問(wèn)題時(shí)���,都可以很方便的恢復(fù)到之前保存的虛擬環(huán)境下��。此蜜罐虛擬機(jī)還可以事先在數(shù)據(jù)結(jié)構(gòu)中記錄蜜罐虛擬機(jī)中允許存在的進(jìn)程名和蜜罐虛擬機(jī)中沙箱所在目錄中允許存在的文件名�,通過(guò)檢測(cè)蜜罐虛擬機(jī)中是否有不符合此白名單的條目��,如果有則重置蜜罐此虛擬機(jī)�。下面通過(guò)具體實(shí)施例來(lái)更詳細(xì)地描述本發(fā)明惡意網(wǎng)站檢測(cè)方法的技術(shù)方案。在本例中蜜罐集群包括多個(gè)蜜罐虛擬機(jī)���。蜜罐集群由單個(gè)或者多個(gè)主機(jī)構(gòu)成���,在主機(jī)中安裝Vmware ESXI操作系統(tǒng),在 ESXI操作系統(tǒng)中�����,可以安裝�����、導(dǎo)入Vmware虛擬操作系統(tǒng)��。通過(guò)在PC主機(jī)中使用Vmware Workstation���,新建虛擬操作系統(tǒng)��,在其中安裝 Windows XP操作系統(tǒng)用于搭建蜜罐操作系統(tǒng)�����,在操作系統(tǒng)中��,安裝常見(jiàn)的第三方軟件���,如暴風(fēng)影音�����、Adobe Reader等��,并且挑選軟件存在漏洞的版本進(jìn)行安裝����。安裝完軟件之后�����,關(guān)閉防火墻��、系統(tǒng)自動(dòng)更新、軟件自動(dòng)更新等服務(wù)����。在該蜜罐系統(tǒng)中放入系統(tǒng)配置與核心組件初始化程序��,并將該程序加入系統(tǒng)自啟動(dòng)設(shè)置�,隨機(jī)啟動(dòng)時(shí)就會(huì)自動(dòng)根據(jù)MAC地址配置IP、DNS等網(wǎng)絡(luò)環(huán)境���,并自動(dòng)連接控制端檢查核心組件的更新情況�����,發(fā)現(xiàn)新版本隨即下載更新�。以上所有操作完成了單個(gè)蜜罐環(huán)境的配置��。使用Vmware Conveter將配置完畢的蜜罐系統(tǒng)環(huán)境轉(zhuǎn)換導(dǎo)入到Vmware ESXI主機(jī)中即完成了單個(gè)蜜罐的部署��。在Vmware ESXI 主機(jī)中安裝 Vmware Vcenter 集群管理程序�,通過(guò) Vmware Vcenter 對(duì)單個(gè)蜜罐系統(tǒng)進(jìn)行克隆,復(fù)制多個(gè)相同的蜜罐系統(tǒng)����,修改其MAC地址,啟動(dòng)蜜罐系統(tǒng)讓初始化程序進(jìn)行自動(dòng)配置網(wǎng)絡(luò)環(huán)境、更新核心組件�����,之后對(duì)所有蜜罐系統(tǒng)制作系統(tǒng)快照���。將所有蜜罐系統(tǒng)的IP地址添加到調(diào)度程序的配置文件中蜜罐地址列表部分���,便完成了蜜罐集群的部署與配置。通過(guò)命令行的掃描輸出結(jié)果>> Start Crawling :http//maolin322. qizai. com/ ^llJJf^nhttp://maolin322. qizai. com/< ���! >50〈���! >2008-10-2901:46:37 對(duì)頁(yè)面檢測(cè)任務(wù)開(kāi)始具體時(shí)間http://maolin322. qizai. com/< ! >MAL< ��! >2008-10—29014634〈��! >http:// www. tznylsf. cn/llzgs/7.htm< �! >15< ! >STATIC< �����! >( ? i)\<iframe["><]*\ sheight\s* = \s*[“ ' ] ����? \s*
[“ ‘ ] ? [\s>] ["><]* 頁(yè)面判別結(jié)果為 MAL 即存在掛馬��,判別依據(jù)STATIC即靜態(tài)特征判別���,最后為檢測(cè)使用的正則表達(dá)式,表達(dá)式匹配出真正掛馬頁(yè)面弓丨用了 http://www. tznylsf. cn/llzgs/7. htmhttp://maolin322. qizai. com/< ����! >END< ! >2008-10-2901:46:37檢測(cè)結(jié)束時(shí)間通過(guò)閱讀掃描日志�,可以看到開(kāi)始標(biāo)志以及開(kāi)始時(shí)間,這個(gè)時(shí)候代表URL已經(jīng)被傳遞進(jìn)去���,開(kāi)始抓取網(wǎng)頁(yè)數(shù)據(jù)��,給掃描函數(shù)進(jìn)行特征掃描處理����,并返回結(jié)果���。http://maolin322. qizai. com/< ����! >START< ! >2008-10-2901:46:34之后還可以看到每行一條的惡意特征���,以及經(jīng)過(guò)特征分析出來(lái)的惡意掛馬地址��, 以〈����! >MAL〈���! >作為標(biāo)志�。http://maolin322. qizai. com/< ��! >MAL< ��! >2008-10-29014634〈�! >http:// www. tznylsf. cn/llzgs/7.htm< ! >15< �! >STATIC< ! >( ���? i)\<iframe["><]*\ sheight\s* = \s*["‘ ] ��? \s*
[" ' ] �? [\s>]["><]* http: //maolin322. qizai. com/<
>MAL< ! >2008-10-2901:46:34< ���! >http:
www. qqazl. cn/c02. htm< ���! >15〈! >STATIC< ����! >( i)\<iframeΓ><]*\sheight\s* =\s*[〃‘ ] �? \s*
[“ ‘ ] ? [\s>]["><]*http://maolin322. qizai.com/< �! >MAL< ! >2008-10-2901:46:36〈���! >http:// maolin322. qizai. com/index_files/detail. js< ����! >3< �����! >STATIC< ! >( i)document\. writel ��? η �����? \s*\(\s*[“ ‘ ]["><]*\<script["><]*\ssrc\s* = \s*[“ ‘ ] \s*http://maolin322. qizai. com/< ��! >MAL< �����! >2008-10-2901: 46 : 37< �����!
>http:
% 61 % 76 % 65 % 33 % 2E % 63 % 6E< ����! >3< ! >STATIC< �����! >( ?
i)\<iframer><]*\sheight\s* = \s*["‘ ] ��? \s*
[“ ‘ ] �? [\s>] ["><]* http //maol in322. qizai. com/<
>MAL<
>2008-10-2901:46:37<
>http://% 61% 76% 65% 33% 2E% 63% 6E< ! >3< �! >STATIC< ! >( ��? i)document\. writel �����? η �����? \s*\(\s*[ “ ‘ ]["><]*\<iframe["><]*\sheight\s* = \s*[ 〃 ' ] \s*
[‘“ ] ����? [\s>] Γ><]* http://maolin322. qizai. com/< �����! >MAL< ����! >2008-10-2901: 46 : 37< ��!
>http:
% 61 % 76 % 65 % 33 % 2E % 63 % 6E<
>3<
>STATIC<
X �����?
i)\<iframer><]*\sheight\s* = \s*["‘ ] ���? \s*
[“ ‘ ] ? [\s>] ["><]*
http://maolin322. qizai. com/< �����! >MAL< ���! >2008-10-2901: 46 : 37< �����! >http://% 61% 76% 65% 33% 2E% 63% 6E< ��! >3< ���! >STATIC< ����! >( ��? i)document\.
writel ��? η \s*\(\s*[
]["><]*\<iframe["X]*\sheight\s* = \s*[
]��?
\s*
['
] [\s>]["><]*http://maolin322. qizai. com/< �����! >MAL< www. tznylsf. cn< �����! >3< ���! >STATIC< ! >outsidehttp://maolin322. qizai. com/< ��! >MAL<
>2008-10-2901:46:37< �����! >http:
>2008-10-2901:46:37< ! >http:
>2008-10-2901:46:37< ����! >http:
www. qqazl. cn< ! >3< ���! >STATIC< ����! >outside最后以〈�����! >END〈�! >標(biāo)志和結(jié)束時(shí)間作為結(jié)束。http://maolin322. qizai. com/< �����! >END< �! >2008-10-2901:46:37特征日志還包含了外域判斷http://maolin322. qizai. com/< ! >MAL< www. qqazl. cn< �����! >3< ! >STATIC< ��! >outsideoutside為外站關(guān)鍵字��。掃描該站點(diǎn)的安全危險(xiǎn)系數(shù)為http://maolin322. qizai. com/< ��! >50〈���! >2008-10-2901:46:3750分滿分��,掃描程序?qū)呙杞Y(jié)果返回給調(diào)度程序{' url' ‘ http://maolin322. qizai. com/' �����, ‘ endTime'‘ 01:46:37'�����,‘ risk' :50���,‘ startTime' ‘ 2008-10-29 01:46:34', [{' url'
2008-10-29 suburls‘
http://www. qqazl. cn/c02. htm'
info ‘ ‘ ( ����?
Ws*
[\ “
15, ‘ time'
i) \\<iframe["><]*\\sheight\\s* = \\s*[ ]�����? [\\s>]["><]* ‘ �, ‘ type ‘ ‘ STATIC ‘ 2008-10-29 01:46:34' }, {' url'
risk
http://www. tznylsf. cn/llzgs/7. htm'
info ‘
‘ ( ?
Ws*
[\ “
15���, ‘ time'
http (�����?
i) \\<iframe["><]*\\sheight\\s* = \\s*[ “ \ ‘ \ ]��? [\\s>]["><]* ‘ ����, ‘ type ‘ ‘ STATIC ‘ ����, ‘ risk 2008-10-29 01:46:34' }, {' url' 7maolin322.qizai.com/index_files/detail.js' , ‘ info‘ i) documentW. writel ? η ���? \\s*\\(\\s*[ ‘‘ \ ‘*\\<script["X]*\\ssrc
\\s*' , ‘ type' {' url'‘ ( ��?
Ws*
[\ “
STATIC'
risk' 3,
\ s氺 =
time‘
Λ s * [ ‘‘ \ ‘ ] ��? 2008-10-29 01:46:36' }�����,
http://% 61% 76% 65% 33% 2E% 63% 6E'
info ‘
3�����,
time
i) \\<iframe["><]*\\sheight\\s* = \\s*[ ]���? [\\s>]["><]* ‘ ���, ' type ' ' STATIC ' 2008-10-29 01:46:37' }, {' url'
risk
http: (?
'% 61% 76% 65% 33% 2E% 63% 6E'
info ‘
i)document\\.writel �����? η \\s*\\(\\s*[*\\<iframe["X]*\\sheight\\s* = \\s*[‘
]�? \\s*
[\" ' ] ? [\\s>]*'�,' type' ' STATIC'�����,' risk' :3,' time' ' 2008-10-2901:46:37' }���,{' url' ' http://% 61% 76% 65% 33% 2E% 63 % 6E ' , ' info ' ' ( ��? i)\\<iframe["><]*\\sheight\\s* = \\s*[“ \ ' ]
\\s*
[\
]�����? [\\s>]["><]*
type
STATIC
risk
3���,
time
http: (?
2008-10-29 01:46:37' }, {' url' //% 61% 76% 65% 33% 2E% 63% 6E'�����, i)document\\.writel ��? η \\s*\\(\\s*[
info ‘*\\<iframe["X]*\\sheight\\s* = \\s*[‘
]���? \\s*
[\" ' ] ���? [\\s>]*'�����,' type' ' STATIC'��,' risk' :3����,' time'' 2008-10-2901:46:37' }����,{' url' ' http://www.tznylsf.cn',' info' 'outside'����,' type' ' STATIC',' risk' 3, ' time' ' 2008-10-29 01:46:37' }���, {' url'' http://www.qqazl.cn' , ' info' ' outside',
pe
STATIC'
risk' :3,
time
'ty
2008-10-29 01:46:37' }]}返回?cái)?shù)據(jù)里面包含了起始URL�,掃描開(kāi)始時(shí)間���,掃描結(jié)束時(shí)間�����,安全風(fēng)險(xiǎn)分值���,匹配到的每條特征�,發(fā)現(xiàn)時(shí)間以及挖掘出來(lái)的惡意地址�。Suburls表示不僅僅只是網(wǎng)站主URL會(huì)包含惡意代碼特征����,其下的子URL也有可能包含此類信息。里包含了當(dāng)前頁(yè)面包含的所有子url以及其特征信息�����,掃描開(kāi)始時(shí)間��,掃描結(jié)束時(shí)間�����,安全風(fēng)險(xiǎn)分值��。以對(duì)http//www. kekenet. com/網(wǎng)站進(jìn)行惡意代碼識(shí)別為例爬蟲(chóng)程序獲取并抓取了URL :http //www. kekenet. com/ �;然后對(duì)該URL進(jìn)行靜態(tài)特征分析�,由于該頁(yè)面內(nèi)部存在非本域名的動(dòng)態(tài)腳本�����,所以會(huì)被判別為可疑���,即存在危險(xiǎn)特征��,接著在蜜罐集群內(nèi)進(jìn)行動(dòng)態(tài)行為分析�。所述動(dòng)態(tài)行為分析進(jìn)一步包括步驟
15
40)基于對(duì)蜜罐集群所接受的URL進(jìn)行判別的結(jié)果蜜罐集群中的蜜罐虛擬機(jī)啟動(dòng)沙箱�;41)沙箱開(kāi)啟瀏覽器且瀏覽器在其中訪問(wèn)所述URL ;42)沙箱在瀏覽器訪問(wèn)URL過(guò)程中記錄瀏覽器行為���;43)沙箱分析所記錄的瀏覽器行為并判斷是否存在具有可能危害操作系統(tǒng)的操作�����。當(dāng)URL在靜態(tài)掃描中的判定結(jié)果為可疑時(shí)���,URL便被分發(fā)至蜜罐中進(jìn)行動(dòng)態(tài)行為分析。蜜罐虛擬機(jī)啟動(dòng)沙箱�,沙箱調(diào)用IE打開(kāi)URL,并等待URL加載網(wǎng)頁(yè)完畢或者是超過(guò)超時(shí)閾值便結(jié)束IE,將訪問(wèn)URL過(guò)程中的所有瀏覽器行為進(jìn)行記錄并予以分析��,判定結(jié)果是否惡思ο分析的瀏覽器行為中假如觸發(fā)以下任何一個(gè)函數(shù)則證明該網(wǎng)頁(yè)存在惡意行為�����。以下為函數(shù)列表����,包括但不限于以下函數(shù)①打開(kāi)系統(tǒng)服務(wù)OpenServiceA (參數(shù)為 ascii 形式)OpenServiceff (參數(shù)為 Unicode 形式)②創(chuàng)建系統(tǒng)服務(wù)CreateServiceACreateServiceff③文件下載函數(shù)URLDownloadToFileAURLDownloadToFileff本例在訪問(wèn)URL過(guò)程中瀏覽器產(chǎn)生了對(duì)c:\windows目錄的寫(xiě)操作,試圖創(chuàng)建文件 xl. exe����,這些行為會(huì)被記錄并且判定為異常行為����,所以該URL會(huì)被判別為惡意頁(yè)面。同時(shí)通過(guò)對(duì)運(yùn)行過(guò)程的記錄進(jìn)行分析��,還能給出更進(jìn)一步信息瀏覽器訪問(wèn)該頁(yè)面時(shí)會(huì)從http://xin254536. 3322. org:89/xl. exe地址下載程序到c:\windows并試圖執(zhí)行�。上例只是對(duì)一個(gè)URL進(jìn)行惡意站點(diǎn)檢測(cè),當(dāng)應(yīng)用到更多個(gè)站點(diǎn)時(shí)本發(fā)明的效果越明顯��。相應(yīng)地�,本發(fā)明惡意網(wǎng)站檢測(cè)裝置,包括獲取單元1,用于獲取要訪問(wèn)的URL ����;抓取單元2,用于抓取所述URL所指向的頁(yè)面��;靜態(tài)分析單元3�����,用于對(duì)所抓取頁(yè)面的數(shù)據(jù)進(jìn)行靜態(tài)特征分析���;動(dòng)態(tài)分析單元4��,用于如果靜態(tài)分析單元3表明存在危險(xiǎn)特征則在蜜罐集群內(nèi)進(jìn)行動(dòng)態(tài)行為分析���。優(yōu)選地,所述動(dòng)態(tài)分析單元4還包括啟動(dòng)單元���,基于對(duì)蜜罐集群所接受的URL進(jìn)行判別的結(jié)果蜜罐集群中的蜜罐虛擬機(jī)啟動(dòng)沙箱����;沙箱�,其包括
開(kāi)啟單元���,用于開(kāi)啟瀏覽器且瀏覽器在其中訪問(wèn)所述URL ;記錄單元��,用于在瀏覽器訪問(wèn)URL過(guò)程中記錄瀏覽器行為�����;分析單元�����,用于分析所記錄的瀏覽器行為并判斷是否存在具有可能危害操作系統(tǒng)的操作��。其中�,所述瀏覽器行為包括瀏覽器應(yīng)用層行為、系統(tǒng)層行為和內(nèi)核層行為�����。所述系統(tǒng)層行為包括文件創(chuàng)建���、進(jìn)程創(chuàng)建、注冊(cè)表寫(xiě)入�����、異常網(wǎng)絡(luò)事件、瀏覽器內(nèi)存狀況和應(yīng)用異常事件���。所述內(nèi)核層行為包括異常進(jìn)程創(chuàng)建����。本發(fā)明惡意網(wǎng)站檢測(cè)裝置還包括用于如果所述蜜罐虛擬機(jī)在啟動(dòng)以來(lái)所接受的 URL掃描請(qǐng)求次數(shù)超過(guò)閾值�,或者蜜罐虛擬機(jī)運(yùn)行時(shí)間超過(guò)預(yù)定的閾值,則重置所述蜜罐虛擬機(jī)的單元�����。優(yōu)選地���,本發(fā)明惡意網(wǎng)站檢測(cè)裝置還包括用于如果所述蜜罐虛擬機(jī)中存在不允許在所述蜜罐虛擬機(jī)中存在的進(jìn)程名則重置所述蜜罐虛擬機(jī)的單元���。由于本發(fā)明惡意網(wǎng)站檢測(cè)裝置的技術(shù)方案與本發(fā)明惡意網(wǎng)站檢測(cè)方法的技術(shù)方案相對(duì)應(yīng),因此在此不再對(duì)本發(fā)明惡意網(wǎng)站檢測(cè)裝置的技術(shù)方案進(jìn)行詳述����。綜上所述,本發(fā)明是對(duì)惡意網(wǎng)站數(shù)據(jù)檢測(cè)技術(shù)上的創(chuàng)新�����。是對(duì)已有的非常成熟的軟件虛擬機(jī)技術(shù)加以改進(jìn),構(gòu)建了以軟件虛擬機(jī)技術(shù)為基礎(chǔ)的蜜罐集群�����。VM軟件虛擬機(jī)技術(shù)可以利用磁盤(pán)空間���,利用軟件特性��,通過(guò)文件的形式在磁盤(pán)空間中虛擬出一個(gè)極度仿真的操作系統(tǒng)環(huán)境出來(lái)���。并可以設(shè)計(jì)出各種不同的虛擬環(huán)境出來(lái)(帶有不同的配備參數(shù))。 由于需要對(duì)極大規(guī)模數(shù)據(jù)的檢測(cè)����,所以,單個(gè)的蜜罐系統(tǒng)是無(wú)法滿足要求的�����。所以�����,在同一個(gè)磁盤(pán)空間內(nèi)構(gòu)建多個(gè)蜜罐系統(tǒng)來(lái)組成蜜罐集群再配以進(jìn)程同步并發(fā)機(jī)理�,以創(chuàng)造出一個(gè)與真實(shí)物理硬件完全一致的運(yùn)行環(huán)境,再加以各種模擬來(lái)自于真實(shí)的網(wǎng)絡(luò)的操作行為�,對(duì)進(jìn)行蜜罐集群的URLs進(jìn)行安全檢測(cè)和分析。另外�����,本發(fā)明的對(duì)信息收集面的收集方式與眾不同���。出于對(duì)數(shù)據(jù)應(yīng)用性的考慮�����,放棄了傳統(tǒng)的從客戶端數(shù)據(jù)的方式���,而改為了從服務(wù)器端收集數(shù)據(jù)的方式,這就可以很好的保證可以為幾乎全面可能的互聯(lián)網(wǎng)應(yīng)用者提供一個(gè)全面的網(wǎng)站安全檢測(cè)���。目前為止�,還沒(méi)有見(jiàn)到相類似的產(chǎn)品出現(xiàn)����。雖然上述已經(jīng)結(jié)合附圖描述了本發(fā)明的具體實(shí)施例�,但是本領(lǐng)域技術(shù)人員在不脫離本發(fā)明的精神和范圍的情況下�����,可以對(duì)本發(fā)明進(jìn)行各種改變��、修改和等效替代�����。這些改變����、修改和等效替代都意為落入隨附的權(quán)利要求所限定的精神和范圍之內(nèi)。
權(quán)利要求
1.一種惡意網(wǎng)站檢測(cè)方法�,其特征在于,包括步驟 獲取要訪問(wèn)的URL �����;抓取所述URL所指向的頁(yè)面����; 對(duì)所抓取頁(yè)面的數(shù)據(jù)進(jìn)行靜態(tài)特征分析;如果靜態(tài)特征分析表明存在危險(xiǎn)特征,則在蜜罐集群內(nèi)進(jìn)行動(dòng)態(tài)行為分析�����。
2.如權(quán)利要求1所述的惡意網(wǎng)站檢測(cè)方法����,其特征在于�����,所述動(dòng)態(tài)行為分析進(jìn)一步包括步驟基于對(duì)蜜罐集群所接受的URL進(jìn)行判別的結(jié)果蜜罐集群中的蜜罐虛擬機(jī)啟動(dòng)沙箱�; 沙箱開(kāi)啟瀏覽器且瀏覽器在其中訪問(wèn)所述URL ; 沙箱在瀏覽器訪問(wèn)URL過(guò)程中記錄瀏覽器行為��;沙箱分析所記錄的瀏覽器行為并判斷是否存在具有可能危害操作系統(tǒng)的操作����。
3.如權(quán)利要求2所述的惡意網(wǎng)站檢測(cè)方法,其特征在于����,所述瀏覽器行為包括瀏覽器應(yīng)用層行為、系統(tǒng)層行為和內(nèi)核層行為��。
4.如權(quán)利要求3所述的惡意網(wǎng)站檢測(cè)方法,其特征在于�,所述系統(tǒng)層行為包括文件創(chuàng)建、進(jìn)程創(chuàng)建���、注冊(cè)表寫(xiě)入��、異常網(wǎng)絡(luò)事件����、瀏覽器內(nèi)存狀況和應(yīng)用異常事件���。
5.如權(quán)利要求4所述的惡意網(wǎng)站檢測(cè)方法���,其特征在于,所述內(nèi)核層行為包括異常進(jìn)程創(chuàng)建���。
6.如權(quán)利要求1至5任一項(xiàng)所述的惡意網(wǎng)站檢測(cè)方法�����,其特征在于����,還包括步驟如果所述蜜罐虛擬機(jī)在啟動(dòng)以來(lái)所接受的URL掃描請(qǐng)求次數(shù)超過(guò)閾值,或者蜜罐虛擬機(jī)運(yùn)行時(shí)間超過(guò)預(yù)定的閾值�����,則重置所述蜜罐虛擬機(jī)�����。
7.如權(quán)利要求6所述的惡意網(wǎng)站檢測(cè)方法���,其特征在于,還包括步驟如果所述蜜罐虛擬機(jī)中存在不允許在所述蜜罐虛擬機(jī)中存在的進(jìn)程名��,則重置所述蜜罐虛擬機(jī)��。
8.一種惡意網(wǎng)站檢測(cè)裝置����,其特征在于,包括 獲取單元�����,用于獲取要訪問(wèn)的URL ����;抓取單元����,用于抓取所述URL所指向的頁(yè)面����; 靜態(tài)分析單元,用于對(duì)所抓取頁(yè)面的數(shù)據(jù)進(jìn)行靜態(tài)特征分析�; 動(dòng)態(tài)分析單元,用于如果靜態(tài)分析單元表明存在危險(xiǎn)特征則在蜜罐集群內(nèi)進(jìn)行動(dòng)態(tài)行為分析��。
9.如權(quán)利要求8所述的惡意網(wǎng)站檢測(cè)裝置����,其特征在于,所述動(dòng)態(tài)分析單元還包括 啟動(dòng)單元���,基于對(duì)蜜罐集群所接受的URL進(jìn)行判別的結(jié)果蜜罐集群中的蜜罐虛擬機(jī)啟動(dòng)沙箱����;沙箱����,其包括開(kāi)啟單元���,用于開(kāi)啟瀏覽器且瀏覽器在其中訪問(wèn)所述URL; 記錄單元,用于在瀏覽器訪問(wèn)URL過(guò)程中記錄瀏覽器行為�����;分析單元����,用于分析所記錄的瀏覽器行為并判斷是否存在具有可能危害操作系統(tǒng)的操作�����。
10.如權(quán)利要求9所述的惡意網(wǎng)站檢測(cè)裝置����,其特征在于,所述瀏覽器行為包括瀏覽器應(yīng)用層行為��、系統(tǒng)層行為和內(nèi)核層行為���。
11.如權(quán)利要求10所述的惡意網(wǎng)站檢測(cè)裝置�,其特征在于�����,所述系統(tǒng)層行為包括文件創(chuàng)建、進(jìn)程創(chuàng)建����、注冊(cè)表寫(xiě)入、異常網(wǎng)絡(luò)事件��、瀏覽器內(nèi)存狀況和應(yīng)用異常事件�。
12.如權(quán)利要求11所述的惡意網(wǎng)站檢測(cè)裝置,其特征在于���,所述內(nèi)核層行為包括異常進(jìn)程創(chuàng)建����。
13.如權(quán)利要求8至12任一項(xiàng)所述的惡意網(wǎng)站檢測(cè)裝置���,其特征在于�,還包括用于如果所述蜜罐虛擬機(jī)在啟動(dòng)以來(lái)所接受的URL掃描請(qǐng)求次數(shù)超過(guò)閾值�,或者蜜罐虛擬機(jī)運(yùn)行時(shí)間超過(guò)預(yù)定的閾值,則重置所述蜜罐虛擬機(jī)的單元��。
14.如權(quán)利要求13所述的惡意網(wǎng)站檢測(cè)裝置�,其特征在于�,還包括用于如果所述蜜罐虛擬機(jī)中存在不允許在所述蜜罐虛擬機(jī)中存在的進(jìn)程名則重置所述蜜罐虛擬機(jī)的單元�。
全文摘要
本發(fā)明公開(kāi)了一種惡意網(wǎng)站檢測(cè)方法及裝置。本發(fā)明惡意網(wǎng)站檢測(cè)方法包括獲取要訪問(wèn)的URL��;抓取所述URL所指向的頁(yè)面�����;對(duì)所抓取頁(yè)面的數(shù)據(jù)進(jìn)行靜態(tài)特征分析�����;如果靜態(tài)特征分析表明存在危險(xiǎn)特征����,則在蜜罐集群內(nèi)進(jìn)行動(dòng)態(tài)行為分析���。本發(fā)明惡意網(wǎng)站檢測(cè)裝置包括獲取單元���,用于獲取要訪問(wèn)的URL;抓取單元�,用于抓取所述URL所指向的頁(yè)面;靜態(tài)分析單元���,用于對(duì)所抓取頁(yè)面的數(shù)據(jù)進(jìn)行靜態(tài)特征分析���;動(dòng)態(tài)分析單元�����,用于如果靜態(tài)分析單元表明存在危險(xiǎn)特征則在蜜罐集群內(nèi)進(jìn)行動(dòng)態(tài)行為分析����。采用本發(fā)明的技術(shù)方案能夠進(jìn)行全面的網(wǎng)站安全檢測(cè)�。
文檔編號(hào)G06F17/30GK102254111SQ20101025417
公開(kāi)日2011年11月23日 申請(qǐng)日期2010年8月12日 優(yōu)先權(quán)日2010年5月17日
發(fā)明者楊冀龍 申請(qǐng)人:北京知道創(chuàng)宇信息技術(shù)有限公司